[ProjectSCZ-FIAM] lokale uid mapping naar comange identifier

Fri Nov 10 09:58:04 CET 2017

Hoi Mark,

Je stelt hele goede vragen, waarvan wij ook nog niet weten wat de beste
oplossing ervoor is.  In het algemeen lijkt me het uitgangspunt dat we
aansluiten zo makkelijk mogelijk moeten maken.
Binnen iedere pilot moeten uitzoeken wat daarvoor nodig en handig is,
dat we kijken welk van die zaken generiek nuttig is, en dat we dan van
de generieke wensen zo veel mogelijk in het gezamenlijke platform
ondersteunen.

Ik reageer verder even inline op je vragen:

> Aannames: - voor de HPC clusters gaan we ervan uit dat er geen 
> globale PosixAccount uids/gids in COmanage zijn - feitelijk hebben
> we dus alleen een identifier (daarover meer in een andere mail) en
> een public SSH key

Dat klopt niet helemaal: COmanage heeft de mogelijkheid om naast een
user identifier (username, ePPN, email, etc) ook een numerieke uid te
genereren in een vooraf gespecificeerde range.

Die uid is dan uniek per CO, maar niet per dienst.
Het wordt dus vervelend als de SCZ-uids in een range zitten die een
aangesloten dienst al ergens anders voor gebruikt.  Daar zou je dus
eventueel nog een mapping moeten doen.

Ik kan niet zo goed inschatten of dat voor jullie diensten (op korte
termijn) een issue is.

> - gebruiker ssh't naar identifier at sp en magic happens - clusters 
> werken lokaal wel met uid/gids - er moet dus een uid 
> gekozen/aangemaakt worden voor elke identifier - deze moet
> opgeslagen worden om bij een volgende login van dezelfde identifier
> weer gebruikt te kunnen worden - deze opslag vindt "lokaal" plaats,
> en niet in de centrale comanage ldap - in theorie zou ik ook de
> eerste keer dat een nieuwe identifier voorbij komt een lokale account
> kunnen maken, maar dat lijkt me geen briljant idee qua
> deprovisioning

Als we COmanage de uids laten generen, is bovenstaande niet meer nodig
denk ik.  Je krijgt dan een ldap van COmanage waar al de uid, username
en ssh-key inzitten, waarmee je dus gebruikers direct kan laten inloggen.

> Er vanuitgaande dat dit grofweg de juiste aannames zijn, dan kunnen 
> we stellen dat de oplossing een lokale aangelegenheid is. Dat is 
> natuurlijk ook de bedoeling in een federatief model. Dat neemt niet 
> weg dat het geen kwaad zou kunnen om best practices te delen.
> 
> Voor ik het wiel mogelijk ga heruitvinden, zijn er al mensen die
> hier concrete oplossingen voor hebben? Zo niet, dan wil ik ook eens
> een vraag met een ldap tag op stackexchange gaan plaatsen.

Op het eerste gezicht lijkt me dit generieke functionaliteit, waar alle
COs iets aan zouden kunnen hebben (althans, degenen die via ldap
aansluiten).
Los daarvan lijken me best-practices over hoe je een dienst kan
aansluiten heel nuttig.  Misschien kunnen we die ergens op de wiki kwijt?

> Hoe ik het momenteel ingericht hebt en wat al werkt: - lokale LDAP 
> server die ingespoeld wordt door COmanage - LDAP authenticatie 
> toegevoegd aan linux systeem - SSH public keys worden via de sshd 
> direct uit LDAP gehaald - pam_mkhomedir voor het aanmaken van 
> homedirs nieuwe gebruikers die via LDAP binnenkomen

Nice!

> TODO: - momenteel moet ik nog lokaal (handmatig) een account
> aanmaken voor een uid/gid - het enige ontbrekende puzzelstukje is nu
> een uid/gid die ik kan (her)gebruiken

Je zou dus eens kunnen proberen of je een numerieke uid als identifier
kan toevoegen in COmanage.  In de settings van je CO kun je onder
"Identifier Assignments" een nieuwe identifier toevoegen.  Als je daar
dan deze settings neemt:
 - type "uid"
 - algorithm "sequential"
 - format "(#:6)"
Zou je een uid moeten krijgen voor je gebruikers.  Ik weet alleen zo
niet of deze uid dan ook automatisch in de ldap geprovisiond wordt.
Gerben, weet jij dat misschien?

Groet,
Bas.
-- 
Bas Zoetekouw
SURFnet  Trust & Security
✉ POBox 19035, Utrecht NL-3501DA
✆ +31-88-7873-562

-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 3607 bytes
Desc: S/MIME Cryptographic Signature
URL: <https://list.surfnet.nl/mailman/private/projectscz-fiam/attachments/20171110/f25c9a1f/attachment.p7s>